ProLock ransomware – nová zpráva odhaluje vývoj hrozby
SophosLabs právě zveřejnil novou zprávu o kmenu ransomware, známém jako ProLock, který není zajímavý ani tak pro jeho implementaci, jako spíše pro jeho vývoj.
Měl byste platit peníze podvodníkům za ransomware?
Všechny orgány a organizace po celém světě říkají: „Ne! Prosím, nedělejte to, protože právě díky těmto pravidelným platbám funguje celý ekosystém ransomware.
V devadesátých letech, než někdo přišel na to, jak s malware vydělat skutečné peníze, existovala spousta počítačových virů, které se šířily a napáchaly obrovské škody. Bylo velice těžké přijít na to, proč tehdy někdo záměrně vytvářel a šířil malware, protože většina si již odpykávala tresty odnětí svobody.
Existovala samozřejmě spousta možných důvodů:
protože autoři virů měli nějakou sekeru, kterou mohli zatnout světu;
protože chtěli učinit nějaké společenské nebo politické prohlášení;
nebo se chtěli ukázat svým kamarádům v kyberpodzemí.
O peníze se tenkrát vůbec nejednalo, a to proto, že neexistoval spolehlivý způsob, jak vydírat peníze on-line a zůstat v anonymitě.
Vše je o penězích
Dnes už jde téměř vždy o peníze. Bezpochyby víte, že výše požadovaných peněz může dosáhnout až několika milionů dolarů za jeden síťový útok.
Pokud by tedy nikdo nikdy nezaplatil, současná teorie říká, že podvodníci by měli mnohem menší sklon obtěžovat se napadáním sítí ransomware, to proto, že většina útoků vyžaduje poměrně hodně času a úsilí ze strany podvodníků.
Ransomware gangům může trvat dny nebo týdny, než svůj útok připraví, například:
- Hacking, phishing nebo nákup přístupu
- Získávání oprávnění správce domény, aby měla stejnou moc jako váš vlastní IT tým
- Mapování sítě podrobně zjistit, na co a kde zaútočit
- Nalezení a odstranění online záloh, které by mohly pomoci při obnově
- Testování a vylepšování různých vzorků ransomwaru s cílem najít takový, který bude s největší pravděpodobností fungovat
- Konfigurace síťových bezpečnostních nástrojů a nastavení pro otevření větší části sítě k útoku
- Určení systémových služeb, které mají být vypnuty, aby se maximalizoval počet souborů, které lze přepsat
- Krádež důvěrných firemních dat ze sítě, aby se zvýšila jejich vyděračská páka
Tým společnosti Sophos dokonce čelil ransomware, kde zločinci prozkoumali e-maily IT oddělení, aby mohli odhadnout nejvyšší možné výkupné. Tito zločinci také stáhli osobní data klíčových členů IT týmu, poté zavolali IT manažerovi a vydírali ho po telefonu s použitím jeho osobních dat.
Jak můžete vidět, reakce zločinců na doporučení neplatit změnilo jejich přístup, nyní je nátlak na platbu ještě větší.
Co když zaplatit nepomůže?
To je problém, kterému čelil ProLock ransomware gang.
Poslední rok byli tito zločinci za vznikem ransomware-u PwndLocker, který naštěstí pro nás ostatní mohl být občas dešifrován bez zaplacení.
Po něm přišel ProLock, který vyvolal urgentní varování od FBI:
„The decryption key or “decryptor” provided by the attackers upon paying the ransom has not routinely executed correctly. The decryptor can potentially corrupt files that are larger than 64MB and may result in file integrity loss of approximately 1 byte per 1KB over 100MB. Added coding may be necessary for the decryptor to function.“
Šifrování s háčkem
ProLock nemíchá každý byte, každého souboru na který útočí.
V ProLock vzorku analyzovaném SophosLabs, prvních 8KB každého souboru zůstalo netknuto.
Jako výsledek, soubor o velikosti 8KB nebo méně zůstane beze změny, ale soubory větší než 8192 bytů jsou šifrované, ale s prvními 8KB v pořádku. ProLock není první ransomware, který používá tento trik, a jsou zde 3 důvody proč to zločinci dělají:
- Aby obešli mechanismy detekující šifrování souborů, které koukají pouze na začátek souboru
- Aby oklamali běžné file-type rozpoznávací nástroje
- Aby Vám dali falešný pocit bezpečnosti
ProLock má také jiné zajímavé triky, například ukrýt se uvnitř BMP souboru, který se zobrazuje jako nezajímavý černý čtverec pokud ho otevřete.
Tento BMP soubor poté otevře PowerShell script, který sám o sobě neobsahuje žádný ransomware. ProLock také obsahuje list více než 150 různých software, které se pokusí najít v paměti a vypnout. Včetně kancelářských aplikací (které typicky drží soubory jako databáze uzamčené, díky čemuž ransomware nemůže získat write přístup do těchto souborů), bezpečnostních aplikací a zálohovacích pomůcek.